Sécurisez votre courriel : mieux vaut prévenir que guérir

samedi 26 décembre 2009, par Claude-Eric Desguin

Voir en ligne : Un papier que j’ai commis dans http://free.korben.info

L’exemple belge le montre [1], les réglementations qui se préparent en Europe visent à abolir le secret de la correspondance privée ainsi que la notion de secret professionnel, pourtant garantis par toutes les constitutions européennes à l’exception notable de la constitution française [2]. Une étape ultérieure à craindre est le retour de l’interdiction pure et simple de la cryptographie. Si tel était le cas, il faudra privilégier la stéganographie, plus discrète. [3]

Concrètement, cela signifie que votre fournisseur d’accès sera tenu d’archiver vos courriels pour une durée déterminée et de les tenir à la disposition des autorités judiciaires et policières. Il faut noter que les FAI s’inquiètent à juste titre des charges liées à cette obligation. Ils pourraient ainsi être amenés à développer des techniques avancées de surveillance, non pas pour mieux vous espionner mais pour se conformer à la loi à moindres coûts. Par exemple en passant votre navigation au crible pour n’archiver que ce qui est susceptible d’intéresser les autorités (mots-clefs, sites sensibles, détection des comportements de furtivité tels que la cryptographie et l’anonymat, etc.) : une forme de complicité objective dont il conviendra de se méfier.

D’où une première précaution élémentaire à prendre : ne pas utiliser les serveurs POP, IMAP et surtout SMTP [4] de votre FAI. Si vous utilisez une adresse de type « web mail » en mode http (ou, mieux, https), votre FAI ne pourra pas archiver votre correspondance (à moins de tamiser la totalité de votre navigation, ce qui entraînerait des surcoûts probablement intolérables).

Si en revanche vous accédez à votre courriel par un client email (Thunderbird, Outlook etc.) à travers des serveurs POP, IMAP et SMTP, attention :

Évitez le service de courriel de votre FAI et préférez-lui un service tiers (Gmail, Yahoo, Hotmail, Eumx etc.). De plus, si vous changez de FAI, vous perdrez tout accès à vos courriels.
Oubliez le SMTP « maison » de votre FAI (par exemple smtp.orange.fr, relay.belgacom.net etc.), utilisez celui d’un service tiers (smtp.gmail.com, smtp.mail.yahoo.fr, ssl.eumx.net etc.) en mode TLS/SSL (ce que ne permettent généralement pas les smtp des FAI) ou, mieux encore, souscrivez à un service spécialisé comme outbound.mailhop.org pour quelques euros par an. Avantage collatéral : si vous vous déplacez avec votre PC et changez de connexion, vous ne devrez plus changer de smtp (celui de votre FAI est en effet inaccessible à travers toute connexion tierce). En tout état de cause choisissez des serveurs POP, IMAP et SMTP situés hors de votre pays. Si les États vénèrent les frontières, le web ignore.

Et bien entendu, répétons-le, chiffrez, chiffrez, chiffrez, même ce qui n’est pas confidentiel. Créez votre clef PGP et partagez-la, c’est beaucoup moins compliqué que vous le pensez. Ne pas chiffrer ses courriels, c’est exactement la même chose que déposer une photocopie de tout son courrier postal au commissariat de police avant le de le jeter -sous enveloppe transparente et ouverte- dans la boîte aux lettres.

À moins d’administrer vous-même votre propre serveur de courriel, sachez que toute votre correspondance non chiffrée peut être archivée en clair par votre prestataire, qu’il s’agisse de votre fournisseur d’accès ou d’un service tiers, et vous ne savez pas quel usage il en fait. Si ce service vous est offert par une entreprise qui exploite également un moteur de recherche (Gmail, Yahoo, Hotmail), la tentation est évidemment grande d’analyser vos échanges pour mieux cibler la publicité, unique source de financement de ces entreprises. La centralisation de dizaines de millions de comptes de courriel dans les archives d’une même entreprise peut aussi constituer une aubaine extraordinairement alléchante pour les services gouvernementaux, qui disposent d’outils puissants d’analyse croisée (associant courriel, réseaux sociaux, téléphone, géolocalisation etc.) leur permettant de faire un portrait extrêmement détaillé de votre personnalité et de votre réseau de relations. Alors enfonçons le clou : chiffrez !

La difficulté, bien entendu, est que la plupart de vos correspondants n’ont pas (encore) de clef de chiffrement : vous ne pouvez donc chiffrer que rarement, et ce qu’on vous envoie est le plus souvent en clair. Deux choses à faire pour que cela change : (1) faites du prosélytisme en rappelant à tous combien il est imprudent de ne pas chiffrer, (2) chiffrez quand même, mais de manière symétrique c’est-à-dire avec une clef unique de chiffrement et de déchiffrement, en transmettant la clef à vos destinataires par un autre canal (la clef étant dans ce cas à usage unique, en tout cas à n’utiliser que deux ou trois fois au maximum). Un service permettant cela est LockBin.


lockbin

D’accord, c’est un peu embêtant pour vous et surtout pour vos correspondants qui ne disposent pas forcément du savoir-faire et des outils nécessaires. Lorsque surviendront les premières manifestations de la disparition du secret des correspondances privées et les dommages collatéraux qui en découlent, on verra probablement les comportements changer : le chiffrement deviendra la norme.

Incluez dans votre signature une mention interdisant explicitement toute divulgation à un tiers sans votre autorisation expresse, sous peine de poursuites. À défaut de pouvoir les chiffrer, signez systématiquement (au sens cryptographique du mot, c’est-à-dire numériquement) vos messages. Ils seront alors authentifiés et horodatés de manière incontestable. Aucune copie ne pourra vous être imputée sans être accompagnée de votre signature et de votre autorisation de divulgation (en d’autres termes, vous pourrez nier la paternité de tout écrit non signé et non autorisé par vous à la divulgation). Certes, dans la plupart des cas le destinataire ne saura pas quoi faire de votre signature attachée ; mais en cas de problème sérieux vous pourrez la faire valoir devant un tribunal compétent. N’oubliez pas que « nul ne peut invoquer sa propre turpitude », c’est-à-dire utiliser contre vous un écrit dont vous n’aviez pas autorisé la divulgation.

Exemple de signature type :


signature type

Ces recommandations peuvent sembler paranoïaques aujourd’hui, mais vous verrez bientôt qu’elles s’imposeront (se souvenir des mésaventures de Jérôme Bourreau-Guggenheim, viré de TF1 pour un courriel privé qui a déplu à sa hiérarchie qui n’aurait jamais dû en avoir connaissance).

Portfolio

P.-S.

Sachez aussi que si vous avez autorisé par inadvertance un réseau social tel que Facebook à utiliser votre carnet d’adresses pour « rechercher des amis », ledit carnet d’adresses cesse aussitôt de vous appartenir, définitivement. Facebook en fera ce qu’il voudra, ne s’en privera d’ailleurs pas, et il n’existe à ce jour aucun moyen de revenir en arrière.

Notes

[1] Le Soir a sucré l’article, mais Mecanopolis a heureusement conservé l’information. C’est peut-être significatif : il est possible qu’on ait voulu faire disparaître l’info, mais le Net n’étant pas encore contrôlé mondialement, ce qu’on coupe ici repousse là - pour l’instant.

[2] Certains politiques voudraient introduire une exception pour les correspondances électroniques, mais on n’imagine pas un juge constitutionnel digne de ce nom acceptant cela. Partout où le secret des correspondances privées est garanti par la loi fondamentale, il faudra en passer par une révision constitutionnelle et une abrogation de l’article 12 de la Convention Universelle des Droits de l’Homme, ce qui ne sera pas facile politiquement parlant.

[3] On peut déjà noter que les solutions de téléphonie cryptée récemment apparues sont strictement réservées aux « représentants de l’autorité », c’est-à-dire à ceux qui imposent au citoyen ordinaire une surveillance à laquelle ils se soustraient par la même occasion : vous et moi ne pourrons jamais téléphoner secrètement ; ceux qui nous surveillent le pourront. Les organisations criminelles et terroristes aussi, bien entendu (se procurer des armes n’a jamais été un problème pour elles, il en sera évidemment de même pour les équipements prohibés de cryptophonie).

[4] Puisque c’est par lui que passeront vos écrits

Commenter cet article

4 Messages de forum

Sécurisez votre courriel : mieux vaut prévenir que guérir
29 décembre 2009 13:32, par Jimbo

Petite précision juridique : Nul ne peut invoquer sa propre turpitude ne veut pas dire qu’on ne peut utiliser les écrits de quelqu’un contre cette personne.

Cet adage veut dire qu’on ne peut invoquer à son avantage ses propres actions « mauvaises » posées sciemment (exemple : on ne peut demander devant les tribunaux remboursement de l’argent versé à un tueur à gage parce qu’il n’a fait son job)

Commenter ce message
- Sécurisez votre courriel : mieux vaut prévenir que guérir 29 décembre 2009 19:09, par Claude-Eric Desguin
  
  Précision complémentaire : la turpitude, en l’occurrence, est le fait de ne pas respecter la mention « Pas de divulgation à un tiers sans mon autorisation explicite » que j’inclus systématiquement dans ma signature. Dans mon esprit, j’interdis par là à mon correspondant de faire état, sans ma permission, de ce que je lui écris en privé, sous peine de « turpitude ».
  Commenter ce message
Sécurisez votre courriel : mieux vaut prévenir que guérir
11 janvier 10:47, par François Daniel Giezendnner
Bonjour,

Désolé d’intervenir ici, mais n’ayant pas de « point d’entrée » … pouvez vous m’indiquer pour spip les plugins au autres démarches que vous adoptez pour obtenir :
- Le magnifique nuage de tag dynamique de la page d’accueil ?
- La recherfche avancée
Meilleurs messages

FDG : francois-daniel.giezendanner edu.ge.ch

Voir en ligne : Configuration du squelette SARKA par mots-clés

Commenter ce message
- Sécurisez votre courriel : mieux vaut prévenir que guérir 11 janvier 12:46, par Claude-Eric Desguin
  
  Pour écrire au patron du bistrot, c’est simple : cliquer ici
  
  (Je vous réponds par courriel)
  
  Commenter ce message